Tất cả các tập tin trên máy tính đều được mã hóa. Ngày hết hạn của phần mềm độc hại mã hóa. Phải làm gì tiếp theo khi tất cả các tệp được mã hóa đều nằm trên một thiết bị riêng biệt

Và mỗi năm càng có nhiều cái mới xuất hiện... ngày càng thú vị hơn. Loại virus phổ biến nhất gần đây (Trojan-Ransom.Win32.Rector), mã hóa tất cả các tệp của bạn (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar, v.v. . .d.). Vấn đề là việc giải mã những tập tin như vậy cực kỳ khó khăn và tốn thời gian, tùy thuộc vào loại mã hóa, quá trình giải mã có thể mất hàng tuần, hàng tháng hoặc thậm chí hàng năm. Theo tôi, loại virus này hiện đang ở mức nguy hiểm cao nhất trong số các loại virus khác. Nó đặc biệt nguy hiểm đối với máy tính/máy tính xách tay tại nhà, vì hầu hết người dùng không sao lưu dữ liệu và khi mã hóa tập tin, họ sẽ mất toàn bộ dữ liệu. Đối với các tổ chức, loại vi-rút này ít nguy hiểm hơn vì chúng tạo bản sao lưu các dữ liệu quan trọng và trong trường hợp bị lây nhiễm, chỉ cần khôi phục chúng một cách tự nhiên sau khi loại bỏ vi-rút. Tôi đã gặp loại virus này vài lần, tôi sẽ mô tả nó xảy ra như thế nào và nó dẫn đến hậu quả gì.

Lần đầu tiên tôi gặp phải một loại virus mã hóa tập tin là vào đầu năm 2014. Một quản trị viên từ thành phố khác đã liên hệ với tôi và cho tôi biết một tin khó chịu nhất - Tất cả các tệp trên máy chủ tệp đều được mã hóa! Sự lây nhiễm xảy ra theo cách cơ bản - bộ phận kế toán nhận được một lá thư có tệp đính kèm “Act of something There.pdf.exe”, như bạn hiểu, họ đã mở tệp EXE này và quá trình bắt đầu... nó mã hóa tất cả các tệp cá nhân trên máy tính và đi đến máy chủ tệp (nó được kết nối bằng ổ đĩa mạng). Tôi và quản trị viên bắt đầu tìm kiếm thông tin trên Internet... lúc đó không có giải pháp nào cả... mọi người đều viết rằng có một loại virus như vậy, không biết cách xử lý, các tập tin không thể giải mã được, có lẽ gửi tệp đến Kaspersky, Dr Web hoặc Nod32 sẽ hữu ích. Bạn chỉ có thể gửi chúng nếu bạn sử dụng các chương trình chống vi-rút của họ (được cấp phép). Chúng tôi đã gửi hồ sơ cho Dr Web và Nod32, kết quả là 0, tôi không nhớ họ đã nói gì với Dr Web, còn Nod 32 hoàn toàn im lặng và tôi không nhận được bất kỳ phản hồi nào từ họ. Nói chung, mọi thứ đều đáng buồn và chúng tôi không bao giờ tìm ra giải pháp; chúng tôi đã khôi phục một số tệp từ bản sao lưu.

Câu chuyện thứ hai - mới hôm nọ (giữa tháng 10 năm 2014) tôi nhận được cuộc gọi từ một tổ chức yêu cầu tôi giải quyết vấn đề với virus; như bạn hiểu, tất cả các tập tin trên máy tính đều đã được mã hóa. Đây là một ví dụ về những gì nó trông như thế nào.

Như bạn có thể thấy, phần mở rộng *.AES256 đã được thêm vào mỗi tệp. Trong mỗi thư mục có một tệp “Attention_open-me.txt” chứa các liên hệ để liên lạc.

Khi cố gắng mở những tệp này, một chương trình có danh bạ đã mở để liên hệ với tác giả của vi-rút để trả tiền giải mã. Tất nhiên, tôi không khuyên bạn nên liên hệ với họ hoặc trả tiền cho mã, vì bạn sẽ chỉ hỗ trợ họ về mặt tài chính và thực tế không phải là bạn sẽ nhận được khóa giải mã.

Sự lây nhiễm xảy ra trong quá trình cài đặt một chương trình được tải xuống từ Internet. Điều đáng ngạc nhiên nhất là khi họ nhận thấy các tập tin đã thay đổi (biểu tượng và phần mở rộng tập tin đã thay đổi), họ không làm gì và tiếp tục hoạt động, trong khi ransomware tiếp tục mã hóa tất cả các tập tin.

Chú ý!!! Nếu bạn nhận thấy các tập tin trên máy tính của mình bị mã hóa (thay đổi biểu tượng, thay đổi phần mở rộng), hãy tắt máy tính/máy tính xách tay ngay lập tức và tìm giải pháp từ thiết bị khác (từ máy tính/máy tính xách tay, điện thoại, máy tính bảng khác) hoặc liên hệ với chuyên gia CNTT. Máy tính/máy tính xách tay của bạn được bật càng lâu thì càng mã hóa được nhiều tệp.

Nói chung, tôi đã muốn từ chối giúp đỡ họ, nhưng tôi quyết định lướt Internet, có lẽ giải pháp cho vấn đề này đã xuất hiện. Qua tìm kiếm, tôi đọc được rất nhiều thông tin không thể giải mã được, rằng bạn cần gửi file đến các công ty diệt virus (Kaspersky, Dr Web hoặc Nod32) - cảm ơn vì đã trải nghiệm.
Tôi tình cờ thấy một tiện ích của Kaspersky - RectorDecryptor. Và lạ thay, các tập tin đã được giải mã. Vâng, điều đầu tiên trước tiên ...

Bước đầu tiên là ngăn chặn ransomware. Bạn sẽ không tìm thấy bất kỳ phần mềm chống vi-rút nào vì Dr Web đã cài đặt không tìm thấy bất kỳ thứ gì. Trước hết, tôi khởi động và vô hiệu hóa tất cả các phần khởi động (trừ phần mềm chống vi-rút). Đã khởi động lại máy tính. Sau đó, tôi bắt đầu xem loại tập tin nào đang khởi động.

Như bạn có thể thấy trong trường "Lệnh", nó được chỉ định vị trí của tệp, cần đặc biệt chú ý đối với các ứng dụng không có chữ ký (Nhà sản xuất - Không có dữ liệu). Nói chung, tôi đã tìm thấy và xóa phần mềm độc hại cũng như các tệp mà tôi chưa hiểu rõ. Sau đó, tôi xóa các thư mục tạm thời và bộ đệm của trình duyệt, tốt nhất nên sử dụng chương trình cho những mục đích này CCleaner .

Sau đó, tôi bắt đầu giải mã các tập tin, để làm điều này tôi đã tải xuống chương trình giải mã RectorDecryptor . Tôi khởi chạy nó và thấy một giao diện khá khổ hạnh của tiện ích.

Tôi đã nhấp vào “Bắt đầu quét” và chỉ ra phần mở rộng mà tất cả các tệp đã thay đổi đều có.

Và chỉ ra tập tin được mã hóa. Trong các phiên bản mới hơn của RectorDecryptor, bạn có thể chỉ định tệp được mã hóa một cách đơn giản. Nhấp vào nút "Mở".

Tada-a-a-am!!! Một điều kỳ diệu đã xảy ra và tập tin đã được giải mã.

Sau đó, tiện ích sẽ tự động kiểm tra tất cả các tệp + tệp máy tính trên ổ đĩa mạng được kết nối và giải mã chúng. Quá trình giải mã có thể mất vài giờ (tùy thuộc vào số lượng tệp được mã hóa và tốc độ máy tính của bạn).

Kết quả là tất cả các tệp được mã hóa đã được giải mã thành công vào cùng thư mục nơi chúng được đặt ban đầu.

Tất cả những gì còn lại là xóa tất cả các tệp có phần mở rộng .AES256, điều này có thể được thực hiện bằng cách chọn hộp kiểm “Xóa các tệp được mã hóa sau khi giải mã thành công” nếu bạn nhấp vào “Thay đổi tham số quét” trong cửa sổ RectorDecryptor.

Nhưng hãy nhớ rằng tốt hơn hết là không nên chọn hộp này, vì nếu các tệp không được giải mã thành công, chúng sẽ bị xóa và để cố gắng giải mã lại chúng, trước tiên bạn phải thực hiện khôi phục .

Khi tôi cố gắng xóa tất cả các tệp được mã hóa bằng tính năng tìm kiếm và xóa tiêu chuẩn, tôi gặp phải tình trạng máy tính bị treo và hoạt động cực kỳ chậm.

Vì vậy, để loại bỏ nó, cách tốt nhất là sử dụng dòng lệnh, chạy nó và viết del"<диск>:\*.<расширение зашифрованного файла>"/f/s. Trong trường hợp của tôi, del "d:\*.AES256" /f /s.

Đừng quên xóa các tập tin "Attention_open-me.txt", để thực hiện việc này, hãy sử dụng lệnh trên dòng lệnh del"<диск>:\*.<имя файла>"/f/s, Ví dụ
xóa "d:\Chú ý_open-me.txt" /f /s

Như vậy, virus đã bị đánh bại và các tập tin đã được khôi phục. Tôi muốn cảnh báo bạn rằng phương pháp này sẽ không giúp ích được cho tất cả mọi người, vấn đề là Kapersky trong tiện ích này đã thu thập tất cả các khóa giải mã đã biết (từ những tệp được gửi bởi những người bị nhiễm vi-rút) và sử dụng phương pháp vũ phu để chọn các khóa và giải mã chúng. Những thứ kia. nếu các tệp của bạn bị vi-rút mã hóa bằng khóa không xác định thì phương pháp này sẽ không giúp ích gì... bạn sẽ phải gửi các tệp bị nhiễm đến các công ty chống vi-rút - Kaspersky, Dr Web hoặc Nod32 để giải mã chúng.

Việc Internet chứa đầy virus ngày nay không làm ai ngạc nhiên. Nói một cách nhẹ nhàng, nhiều người dùng nhận thấy các tình huống liên quan đến tác động của họ đối với hệ thống hoặc dữ liệu cá nhân là nhắm mắt làm ngơ, nhưng chỉ cho đến khi một loại virus ransomware đặc biệt xâm nhập vào hệ thống. Hầu hết người dùng thông thường không biết cách khử trùng và giải mã dữ liệu được lưu trữ trên ổ cứng. Vì vậy, đội ngũ này bị “dẫn” theo những yêu cầu mà kẻ tấn công đưa ra. Nhưng hãy xem có thể làm gì nếu phát hiện được mối đe dọa như vậy hoặc ngăn chặn nó xâm nhập vào hệ thống.

Virus ransomware là gì?

Loại mối đe dọa này sử dụng thuật toán mã hóa tệp tiêu chuẩn và phi tiêu chuẩn để thay đổi hoàn toàn nội dung của chúng và chặn quyền truy cập. Ví dụ: sẽ hoàn toàn không thể mở tệp văn bản được mã hóa để đọc hoặc chỉnh sửa cũng như phát nội dung đa phương tiện (đồ họa, video hoặc âm thanh) sau khi tiếp xúc với vi-rút. Ngay cả các hành động tiêu chuẩn để sao chép hoặc di chuyển đối tượng cũng không khả dụng.

Bản thân phần mềm vi-rút là một công cụ mã hóa dữ liệu theo cách mà không phải lúc nào cũng có thể khôi phục lại trạng thái ban đầu ngay cả sau khi loại bỏ mối đe dọa khỏi hệ thống. Thông thường, các chương trình độc hại như vậy tạo ra các bản sao của chính chúng và bám rất sâu trong hệ thống, do đó vi-rút mã hóa tệp có thể hoàn toàn không thể loại bỏ được. Bằng cách gỡ cài đặt chương trình chính hoặc xóa phần chính của vi-rút, người dùng sẽ không thoát khỏi mối đe dọa chứ đừng nói đến việc khôi phục thông tin được mã hóa.

Mối đe dọa xâm nhập vào hệ thống bằng cách nào?

Theo quy định, các mối đe dọa kiểu này chủ yếu nhắm vào các cơ cấu thương mại lớn và có thể xâm nhập vào máy tính thông qua các chương trình email khi nhân viên mở một tài liệu được cho là đính kèm trong email, chẳng hạn như một phụ lục của một loại thỏa thuận hợp tác hoặc cung cấp sản phẩm nào đó. kế hoạch (các ưu đãi thương mại với các khoản đầu tư từ các nguồn đáng ngờ là con đường đầu tiên cho vi-rút).

Vấn đề là virus ransomware trên máy có quyền truy cập vào mạng cục bộ có thể thích ứng với nó, tạo các bản sao của riêng nó không chỉ trong môi trường mạng mà còn trên thiết bị đầu cuối quản trị viên, nếu nó không có các phương tiện cần thiết. bảo vệ dưới dạng phần mềm chống vi-rút, tường lửa hoặc tường lửa.

Đôi khi những mối đe dọa như vậy có thể xâm nhập vào hệ thống máy tính của người dùng thông thường, điều này nhìn chung không khiến những kẻ tấn công quan tâm. Điều này xảy ra trong quá trình cài đặt một số chương trình được tải xuống từ các tài nguyên Internet đáng ngờ. Nhiều người dùng bỏ qua các cảnh báo của hệ thống bảo vệ chống vi-rút khi bắt đầu tải xuống và trong quá trình cài đặt, họ không chú ý đến các đề nghị cài đặt phần mềm, bảng điều khiển hoặc plugin bổ sung của trình duyệt, sau đó, như họ nói, cắn khuỷu tay.

Các loại virus và một chút lịch sử

Nhìn chung, các mối đe dọa thuộc loại này, đặc biệt là virus ransomware nguy hiểm nhất No_more_ransom, không chỉ được phân loại là công cụ mã hóa dữ liệu hoặc chặn quyền truy cập vào dữ liệu đó. Trên thực tế, tất cả các ứng dụng độc hại như vậy đều thuộc danh mục ransomware. Nói cách khác, những kẻ tấn công yêu cầu một khoản hối lộ nhất định để giải mã thông tin, tin rằng nếu không có chương trình ban đầu thì sẽ không thể thực hiện được quá trình này. Điều này đúng một phần.

Tuy nhiên, nếu tìm hiểu lịch sử, bạn sẽ nhận thấy rằng một trong những loại virus đầu tiên thuộc loại này, mặc dù không đòi tiền, nhưng lại là applet I Love You khét tiếng, nó mã hóa hoàn toàn các tệp đa phương tiện (chủ yếu là các bản nhạc) trên hệ thống của người dùng. . Việc giải mã các tập tin sau virus ransomware hóa ra là không thể vào thời điểm đó. Bây giờ chính xác mối đe dọa này có thể được giải quyết một cách cơ bản.

Nhưng sự phát triển của bản thân virus hoặc các thuật toán mã hóa được sử dụng không đứng yên. Trong số các loại virus có gì - ở đây bạn có XTBL, CBF, Breaking_Bad, và [email được bảo vệ], và một đống thứ vớ vẩn khác.

Phương pháp tác động đến tập tin người dùng

Và nếu cho đến gần đây, hầu hết các cuộc tấn công đều được thực hiện bằng thuật toán RSA-1024 dựa trên mã hóa AES với cùng độ sâu bit, thì loại virus đòi tiền chuộc No_more_ransom tương tự hiện được trình bày theo một số cách hiểu bằng cách sử dụng khóa mã hóa dựa trên công nghệ RSA-2048 và thậm chí cả RSA-3072.

Các vấn đề giải mã các thuật toán được sử dụng

Vấn đề là các hệ thống giải mã hiện đại đã bất lực trước mối nguy hiểm như vậy. Việc giải mã các tệp sau vi-rút ransomware dựa trên AES256 vẫn được hỗ trợ phần nào, nhưng với độ sâu bit cao hơn, hầu như tất cả các nhà phát triển chỉ cần nhún vai. Nhân tiện, điều này đã được các chuyên gia từ Kaspersky Lab và Eset chính thức xác nhận.

Trong phiên bản nguyên thủy nhất, người dùng liên hệ với dịch vụ hỗ trợ sẽ được yêu cầu gửi tệp được mã hóa và bản gốc của nó để so sánh và thực hiện các thao tác tiếp theo nhằm xác định thuật toán mã hóa và phương pháp khôi phục. Tuy nhiên, như một quy luật, trong hầu hết các trường hợp, điều này không mang lại kết quả. Nhưng người ta tin rằng virus mã hóa có thể tự giải mã các tập tin với điều kiện nạn nhân đồng ý với các điều kiện của kẻ tấn công và trả một số tiền nhất định bằng tiền. Tuy nhiên, cách đặt câu hỏi này đặt ra những nghi ngờ chính đáng. Và đó là lý do tại sao.

Virus mã hóa: làm thế nào để khử trùng và giải mã tập tin và có thể thực hiện được không?

Bị cáo buộc, sau khi thanh toán, tin tặc kích hoạt giải mã thông qua quyền truy cập từ xa vào vi-rút đang tồn tại trên hệ thống của chúng hoặc thông qua một applet bổ sung nếu phần thân vi-rút bị xóa. Điều này có vẻ đáng nghi ngờ hơn.

Tôi cũng muốn lưu ý một thực tế là Internet chứa đầy các bài đăng giả mạo tuyên bố rằng số tiền yêu cầu đã được thanh toán và dữ liệu đã được khôi phục thành công. Tất cả chỉ là dối trá! Và thực sự - đâu là sự đảm bảo rằng sau khi thanh toán, virus mã hóa sẽ không được kích hoạt lại trong hệ thống? Không khó để hiểu tâm lý của bọn trộm: trả tiền một lần, trả tiền lần nữa. Và nếu chúng ta đang nói về những thông tin đặc biệt quan trọng, chẳng hạn như những phát triển thương mại, khoa học hoặc quân sự cụ thể, thì chủ sở hữu của những thông tin đó sẵn sàng trả bất cứ giá nào họ muốn để đảm bảo rằng các tập tin được an toàn và nguyên vẹn.

Biện pháp đầu tiên để loại bỏ mối đe dọa

Đây là bản chất của virus mã hóa. Làm cách nào để khử trùng và giải mã các tập tin sau khi gặp mối đe dọa? Không thể nào, nếu không có phương tiện sẵn có, điều đó cũng không phải lúc nào cũng hữu ích. Nhưng bạn có thể thử.

Giả sử rằng một loại virus ransomware đã xuất hiện trong hệ thống. Làm thế nào để chữa các tập tin bị nhiễm bệnh? Trước tiên, bạn nên thực hiện quét sâu hệ thống mà không sử dụng công nghệ S.M.A.R.T., công nghệ này chỉ phát hiện các mối đe dọa khi các cung khởi động và tệp hệ thống bị hỏng.

Không nên sử dụng máy quét tiêu chuẩn hiện có, loại máy quét này đã bỏ sót mối đe dọa mà hãy sử dụng các tiện ích di động. Tùy chọn tốt nhất là khởi động từ Kaspersky Rescue Disk, có thể khởi động ngay cả trước khi hệ điều hành bắt đầu chạy.

Nhưng đây mới chỉ là một nửa trận chiến, vì bằng cách này, bạn chỉ có thể loại bỏ được virus. Nhưng với bộ giải mã thì sẽ khó khăn hơn. Nhưng nhiều hơn về điều này sau.

Có một loại khác mà virus ransomware rơi vào. Cách giải mã thông tin sẽ được thảo luận riêng, nhưng bây giờ hãy tập trung vào thực tế là chúng có thể tồn tại hoàn toàn công khai trong hệ thống dưới dạng các chương trình và ứng dụng được cài đặt chính thức (sự trơ tráo của những kẻ tấn công là không có giới hạn, vì mối đe dọa thậm chí không có giới hạn). cố gắng ngụy trang).

Trong trường hợp này, bạn nên sử dụng phần Chương trình và Tính năng, nơi thực hiện quá trình gỡ cài đặt tiêu chuẩn. Tuy nhiên, bạn cần chú ý đến thực tế là trình gỡ cài đặt tiêu chuẩn cho hệ thống Windows không xóa hoàn toàn tất cả các tệp chương trình. Đặc biệt, virus đòi tiền chuộc có khả năng tạo các thư mục riêng trong các thư mục gốc của hệ thống (thường là các thư mục Csrss, nơi chứa tập tin thực thi cùng tên csrss.exe). Các thư mục Windows, System32 hoặc người dùng (Người dùng trên ổ đĩa hệ thống) được chọn làm vị trí chính.

Ngoài ra, vi-rút đòi tiền chuộc No_more_ransom ghi các khóa riêng của nó trong sổ đăng ký dưới dạng một liên kết, dường như đến dịch vụ hệ thống Con Hệ thống con Thời gian chạy Máy chủ Khách hàng chính thức, điều này khiến nhiều người hiểu lầm, vì dịch vụ này phải chịu trách nhiệm về sự tương tác giữa phần mềm máy khách và máy chủ. . Bản thân khóa này nằm trong thư mục Run, có thể truy cập được thông qua nhánh HKLM. Rõ ràng là những khóa như vậy sẽ cần phải được xóa bằng tay.

Để dễ dàng hơn, bạn có thể sử dụng các tiện ích như iObit uninstaller, tiện ích này tự động tìm kiếm các tệp còn sót lại và khóa đăng ký (nhưng chỉ khi vi-rút hiển thị trên hệ thống dưới dạng một ứng dụng đã cài đặt). Nhưng đây là điều đơn giản nhất bạn có thể làm.

Giải pháp được cung cấp bởi các nhà phát triển phần mềm chống vi-rút

Người ta tin rằng việc giải mã vi-rút ransomware có thể được thực hiện bằng các tiện ích đặc biệt, mặc dù nếu bạn có công nghệ có khóa 2048 hoặc 3072 bit, bạn thực sự không nên tin tưởng vào chúng (ngoài ra, nhiều trong số chúng sẽ xóa các tệp sau khi giải mã, và sau đó các tập tin được khôi phục sẽ biến mất do sự hiện diện của một phần mềm virus chưa được loại bỏ trước đó).

Tuy nhiên, bạn có thể thử. Trong số tất cả các chương trình, điều đáng chú ý là RectorDecryptor và ShadowExplorer. Người ta tin rằng chưa có gì tốt hơn được tạo ra. Nhưng vấn đề cũng có thể là khi bạn cố gắng sử dụng bộ giải mã, không có gì đảm bảo rằng các tập tin đang được chữa khỏi sẽ không bị xóa. Nghĩa là, nếu ban đầu bạn không loại bỏ vi-rút, mọi nỗ lực giải mã sẽ thất bại.

Ngoài việc xóa thông tin được mã hóa, còn có thể dẫn đến hậu quả nghiêm trọng - toàn bộ hệ thống sẽ không thể hoạt động được. Ngoài ra, một loại virus mã hóa hiện đại có thể ảnh hưởng không chỉ đến dữ liệu được lưu trữ trên ổ cứng máy tính mà còn cả các tệp trong bộ lưu trữ đám mây. Nhưng không có giải pháp nào để phục hồi dữ liệu. Ngoài ra, hóa ra, nhiều dịch vụ áp dụng các biện pháp bảo vệ không đủ hiệu quả (cùng một OneDrive được tích hợp trong Windows 10, được hiển thị trực tiếp từ hệ điều hành).

Một giải pháp triệt để cho vấn đề

Như đã rõ, hầu hết các phương pháp hiện đại không cho kết quả khả quan khi bị nhiễm những loại vi-rút như vậy. Tất nhiên, nếu bạn có bản gốc của tệp bị hỏng, nó có thể được gửi đến phòng thí nghiệm chống vi-rút để kiểm tra. Đúng vậy, cũng có những nghi ngờ rất nghiêm trọng về việc người dùng bình thường sẽ tạo các bản sao lưu dữ liệu mà khi lưu trữ trên ổ cứng cũng có thể bị nhiễm mã độc. Và việc để tránh rắc rối, người dùng sao chép thông tin vào phương tiện di động hoàn toàn không được bàn đến.

Vì vậy, để giải quyết triệt để vấn đề, kết luận đã đưa ra: định dạng hoàn chỉnh ổ cứng và tất cả các phân vùng hợp lý với việc loại bỏ thông tin. Vậy lam gi? Bạn sẽ phải hy sinh nếu không muốn virus hoặc bản sao tự lưu của nó được kích hoạt lại trong hệ thống.

Để thực hiện việc này, bạn không nên sử dụng chính các công cụ của hệ thống Windows (điều này có nghĩa là định dạng các phân vùng ảo, vì nếu bạn cố truy cập vào đĩa hệ thống, lệnh cấm sẽ được ban hành). Tốt hơn là bạn nên khởi động từ phương tiện quang học như LiveCD hoặc các bản phân phối cài đặt, chẳng hạn như các bản phân phối được tạo bằng Media Creation Tool cho Windows 10.

Trước khi bắt đầu định dạng, nếu vi-rút bị loại bỏ khỏi hệ thống, bạn có thể thử khôi phục tính toàn vẹn của các thành phần hệ thống thông qua dòng lệnh (sfc /scannow), nhưng điều này sẽ không có bất kỳ tác dụng nào trong việc giải mã và mở khóa dữ liệu. Do đó định dạng c: là giải pháp khả thi đúng đắn duy nhất, dù bạn có muốn hay không. Đây là cách duy nhất để loại bỏ hoàn toàn các mối đe dọa kiểu này. Than ôi, không còn cách nào khác! Ngay cả việc điều trị bằng các biện pháp tiêu chuẩn được cung cấp bởi hầu hết các gói chống vi-rút cũng trở nên bất lực.

Thay vì lời bạt

Về những kết luận rõ ràng, chúng ta chỉ có thể nói rằng ngày nay không có giải pháp duy nhất và phổ quát nào để loại bỏ hậu quả của loại mối đe dọa này (buồn nhưng đúng - điều này đã được phần lớn các nhà phát triển và chuyên gia phần mềm chống vi-rút xác nhận trong lĩnh vực mật mã).

Vẫn chưa rõ lý do tại sao sự xuất hiện của các thuật toán dựa trên mã hóa 1024-, 2048- và 3072-bit lại được những người trực tiếp tham gia phát triển và triển khai các công nghệ đó thông qua? Thật vậy, ngày nay thuật toán AES256 được coi là hứa hẹn nhất và an toàn nhất. Để ý! 256! Hóa ra, hệ thống này không thể sánh được với các loại virus hiện đại. Vậy chúng ta có thể nói gì về nỗ lực giải mã khóa của họ?

Dù vậy, việc tránh đưa mối đe dọa vào hệ thống là khá đơn giản. Trong phiên bản đơn giản nhất, bạn nên quét tất cả các thư đến có tệp đính kèm trong Outlook, Thunderbird và các ứng dụng email khác bằng phần mềm chống vi-rút ngay sau khi nhận và không được mở tệp đính kèm trong mọi trường hợp cho đến khi quá trình quét hoàn tất. Bạn cũng nên đọc kỹ các gợi ý cài đặt phần mềm bổ sung khi cài đặt một số chương trình (thường chúng được viết bằng chữ in rất nhỏ hoặc được ngụy trang dưới dạng các tiện ích bổ sung tiêu chuẩn như cập nhật Flash Player hoặc thứ gì khác). Tốt hơn là nên cập nhật các thành phần đa phương tiện thông qua các trang web chính thức. Đây là cách duy nhất để ít nhất bằng cách nào đó ngăn chặn những mối đe dọa như vậy xâm nhập vào hệ thống của chính bạn. Hậu quả có thể hoàn toàn không thể đoán trước được vì loại vi-rút này lây lan ngay lập tức trên mạng cục bộ. Và đối với công ty, những diễn biến như vậy có thể dẫn đến sự sụp đổ thực sự của mọi nỗ lực.

Cuối cùng, người quản trị hệ thống không nên ngồi yên. Tốt hơn là loại trừ các công cụ bảo vệ phần mềm trong tình huống như vậy. Tường lửa (tường lửa) giống nhau không phải là phần mềm mà là “phần cứng” (đương nhiên là có phần mềm đi kèm trên bo mạch). Và tất nhiên là bạn cũng không nên tiết kiệm việc mua các gói chống vi-rút. Tốt hơn là nên mua gói được cấp phép thay vì cài đặt các chương trình nguyên thủy được cho là chỉ cung cấp khả năng bảo vệ theo thời gian thực theo nhà phát triển.

Và nếu một mối đe dọa đã xâm nhập vào hệ thống, chuỗi hành động sẽ bao gồm việc loại bỏ chính phần thân vi-rút và chỉ sau đó cố gắng giải mã dữ liệu bị hỏng. Lý tưởng nhất là một định dạng đầy đủ (lưu ý, không phải là định dạng nhanh chóng với việc xóa mục lục mà là một định dạng hoàn chỉnh, tốt nhất là khôi phục hoặc thay thế hệ thống tệp, cung khởi động và bản ghi hiện có).

Nó tiếp tục cuộc hành quân áp bức trên Internet, lây nhiễm vào máy tính và mã hóa dữ liệu quan trọng. Làm thế nào để bảo vệ bạn khỏi ransomware, bảo vệ Windows khỏi ransomware - đã có bản vá nào được phát hành để giải mã và khử trùng tập tin chưa?

Virus ransomware mới 2017 Wanna Cry tiếp tục lây nhiễm vào các PC của công ty và cá nhân. bạn Thiệt hại do virus tấn công lên tới 1 tỷ USD. Trong 2 tuần, ít nhất virus ransomware đã lây nhiễm 300 nghìn máy tính, bất chấp cảnh báo và biện pháp an ninh.

Virus ransomware 2017 là gì?- theo quy định, bạn có thể “bắt” trên các trang web dường như vô hại nhất, chẳng hạn như máy chủ ngân hàng có quyền truy cập của người dùng. Khi đã vào được ổ cứng của nạn nhân, ransomware sẽ “định cư” trong thư mục hệ thống System32. Từ đó chương trình sẽ ngay lập tức vô hiệu hóa phần mềm chống vi-rút và đi vào "Tự động chạy"" Sau mỗi lần khởi động lại, ransomware chạy vào sổ đăng ký, bắt đầu công việc bẩn thỉu của mình. Phần mềm ransomware bắt đầu tải xuống các bản sao tương tự của các chương trình như Ransom và Trojan. Nó cũng thường xuyên xảy ra ransomware tự sao chép. Quá trình này có thể diễn ra tạm thời hoặc có thể mất vài tuần cho đến khi nạn nhân nhận thấy có điều gì đó không ổn.

Phần mềm ransomware thường ngụy trang dưới dạng hình ảnh hoặc tệp văn bản thông thường, nhưng bản chất luôn giống nhau - đây là tệp thực thi có phần mở rộng .exe, .drv, .xvd; Thỉnh thoảng - thư viện.dll. Thông thường, tệp có một tên hoàn toàn vô hại, ví dụ: “ tài liệu. bác sĩ", hoặc " hình ảnh.jpg", trong đó tiện ích mở rộng được viết thủ công và loại tệp thực sự bị ẩn.

Sau khi quá trình mã hóa hoàn tất, người dùng sẽ thấy, thay vì các tệp quen thuộc, một tập hợp các ký tự "ngẫu nhiên" trong tên và bên trong, đồng thời phần mở rộng thay đổi thành một phần mở rộng chưa biết trước đó - .NO_MORE_RANSOM, .xdata và những người khác.

Virus ransomware Wanna Cry 2017 – cách tự bảo vệ mình. Tôi muốn lưu ý ngay rằng Wanna Cry là một thuật ngữ chung cho tất cả các loại vi-rút mã hóa và ransomware, vì gần đây nó lây nhiễm vào máy tính thường xuyên nhất. Vì vậy, chúng ta sẽ nói về Bảo vệ bạn khỏi ransomware Ransom Ware, trong đó có rất nhiều loại: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Cách bảo vệ Windows khỏi ransomware. – EternalBlue thông qua giao thức cổng SMB.

Bảo vệ Windows khỏi ransomware 2017 – các quy tắc cơ bản:

• Cập nhật Windows, chuyển đổi kịp thời sang hệ điều hành được cấp phép (lưu ý: phiên bản XP không được cập nhật)
• cập nhật cơ sở dữ liệu chống vi-rút và tường lửa theo yêu cầu
• Hãy hết sức cẩn thận khi tải xuống bất kỳ tập tin nào (các "con dấu" dễ thương có thể dẫn đến mất tất cả dữ liệu)
• Sao lưu thông tin quan trọng vào phương tiện di động.

Virus ransomware 2017: cách khử trùng và giải mã tập tin

Dựa vào phần mềm diệt virus, bạn có thể quên mất bộ giải mã trong một thời gian. Trong phòng thí nghiệm Kaspersky, Tiến sĩ. Web, Avast! và các phần mềm diệt virus khác hiện nay không tìm thấy giải pháp nào để xử lý các tập tin bị nhiễm. Hiện tại, có thể loại bỏ vi-rút bằng phần mềm chống vi-rút, nhưng chưa có thuật toán nào để đưa mọi thứ “trở lại bình thường”.

Một số cố gắng sử dụng bộ giải mã như tiện ích RectorDecryptor, nhưng điều này sẽ không giúp ích gì: một thuật toán giải mã virus mới vẫn chưa được biên soạn. Người ta cũng hoàn toàn không biết virus sẽ hoạt động như thế nào nếu nó không bị loại bỏ sau khi sử dụng các chương trình như vậy. Thông thường, điều này có thể dẫn đến việc xóa tất cả các tệp - như một lời cảnh báo cho những người không muốn trả tiền cho những kẻ tấn công, tác giả của vi-rút.

Hiện tại, cách hiệu quả nhất để khôi phục dữ liệu bị mất là liên hệ với bộ phận hỗ trợ kỹ thuật. hỗ trợ từ nhà cung cấp chương trình chống vi-rút mà bạn sử dụng. Để làm điều này, bạn nên gửi thư hoặc sử dụng mẫu phản hồi trên trang web của nhà sản xuất. Đảm bảo thêm tệp được mã hóa vào tệp đính kèm và nếu có, bản sao của bản gốc. Điều này sẽ giúp các lập trình viên soạn thảo thuật toán. Thật không may, đối với nhiều người, một cuộc tấn công của virus xảy ra hoàn toàn bất ngờ và không có bản sao nào được tìm thấy, điều này làm phức tạp thêm tình hình.

Các phương pháp tim mạch chữa Windows khỏi ransomware. Thật không may, đôi khi bạn phải dùng đến cách định dạng hoàn toàn ổ cứng, điều này đòi hỏi phải thay đổi hoàn toàn hệ điều hành. Nhiều người sẽ nghĩ đến việc khôi phục hệ thống, nhưng đây không phải là một lựa chọn - thậm chí "khôi phục" sẽ loại bỏ vi-rút, nhưng các tệp vẫn sẽ được mã hóa.

Nếu hệ thống bị nhiễm phần mềm độc hại từ gia đình Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl hoặc Trojan-Ransom.Win32.CryptXXX, khi đó tất cả các file trên máy tính sẽ được mã hóa như sau:

• Khi bị nhiễm bệnh Trojan-Ransom.Win32.Rannoh tên và phần mở rộng sẽ thay đổi theo mẫu đã khóa-<оригинальное_имя>.<4 произвольных буквы> .
• Khi bị nhiễm bệnh Trojan-Ransom.Win32.Cryakl một nhãn được thêm vào cuối nội dung tập tin (CRYPTENDBLACKDC) .
• Khi bị nhiễm bệnh Trojan-Ransom.Win32.AutoIt phần mở rộng thay đổi theo mẫu <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
  Ví dụ, [email được bảo vệ] _.RZWDTDIC.
• Khi bị nhiễm bệnh Trojan-Ransom.Win32.CryptXXX phần mở rộng thay đổi theo mẫu <оригинальное_имя>.crypt,<оригинальное_имя>. mật mã Và <оригинальное_имя>. cry1.

Tiện ích RannohDecryptor được thiết kế để giải mã các tập tin sau khi bị lây nhiễm Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl hoặc Trojan-Ransom.Win32.CryptXXX phiên bản 1 , 2 Và 3 .

Cách chữa trị hệ thống

Để chữa một hệ thống bị nhiễm bệnh:

1. Tải xuống tệp RannohDecryptor.zip.
2. Chạy RannohDecryptor.exe trên máy bị nhiễm.
3. Trong cửa sổ chính, nhấp vào Bắt đầu kiểm tra.

1. Chỉ định đường dẫn đến tệp được mã hóa và không được mã hóa.
   Nếu tập tin được mã hóa Trojan-Ransom.Win32.CryptXXX, chỉ định các tệp lớn nhất. Việc giải mã sẽ chỉ khả dụng đối với các tệp có kích thước bằng hoặc nhỏ hơn.
2. Đợi cho đến khi kết thúc quá trình tìm kiếm và giải mã các tập tin được mã hóa.
3. Khởi động lại máy tính của bạn nếu cần thiết.
4. Để xóa bản sao của các tệp được mã hóa như đã khóa-<оригинальное_имя>.<4 произвольных буквы> Sau khi giải mã thành công, hãy chọn .

Nếu tập tin đã được mã hóa Trojan-Ransom.Win32.Cryakl, khi đó tiện ích sẽ lưu file vào vị trí cũ có đuôi .decryptedKLR.origin_extension. Nếu bạn đã chọn Xóa các tập tin được mã hóa sau khi giải mã thành công, khi đó file giải mã sẽ được tiện ích lưu lại với tên gốc.

1. Theo mặc định, tiện ích xuất báo cáo công việc vào thư mục gốc của đĩa hệ thống (đĩa cài đặt hệ điều hành).

   Tên báo cáo như sau: UtilityName.Version_Date_Time_log.txt

   Ví dụ, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Trong một hệ thống bị nhiễm Trojan-Ransom.Win32.CryptXXX, tiện ích sẽ quét một số định dạng tệp có giới hạn. Nếu người dùng chọn tệp bị ảnh hưởng bởi CryptXXX v2, việc khôi phục khóa có thể mất nhiều thời gian. Trong trường hợp này, tiện ích sẽ hiển thị cảnh báo.

Khoảng một hoặc hai tuần trước, một vụ hack khác từ các nhà sản xuất virus hiện đại đã xuất hiện trên Internet, mã hóa tất cả các tệp của người dùng. Một lần nữa tôi sẽ xem xét câu hỏi làm thế nào để khắc phục máy tính bị nhiễm virus ransomware được mã hóa000007 và khôi phục các tập tin được mã hóa. Trong trường hợp này, không có gì mới hoặc độc đáo xuất hiện, chỉ là một bản sửa đổi của phiên bản trước.

Đảm bảo giải mã các tập tin sau virus ransomware - dr-shifro.ru. Chi tiết về công việc và kế hoạch tương tác với khách hàng có trong bài viết của tôi hoặc trên trang web trong phần “Quy trình làm việc”.

Mô tả về virus ransomware CRYPTED000007

Bộ mã hóa CRYPTED000007 về cơ bản không khác biệt so với các phiên bản tiền nhiệm của nó. Nó hoạt động gần như chính xác theo cùng một cách. Nhưng vẫn có một số sắc thái để phân biệt nó. Tôi sẽ kể cho bạn nghe về mọi thứ theo thứ tự.

Nó đến, giống như những sản phẩm tương tự, qua đường bưu điện. Các kỹ thuật kỹ thuật xã hội được sử dụng để đảm bảo rằng người dùng quan tâm đến bức thư và mở nó ra. Trong trường hợp của tôi, bức thư nói về một số loại tòa án và thông tin quan trọng về vụ án trong tệp đính kèm. Sau khi khởi chạy tệp đính kèm, người dùng sẽ mở tài liệu Word có trích đoạn từ Tòa án Trọng tài Moscow.

Song song với việc mở tài liệu, quá trình mã hóa tập tin bắt đầu. Một thông báo thông tin từ hệ thống Kiểm soát tài khoản người dùng Windows bắt đầu liên tục bật lên.

Nếu bạn đồng ý với đề xuất thì bản sao lưu của các tệp trong bản sao ẩn của Windows sẽ bị xóa và việc khôi phục thông tin sẽ rất khó khăn. Rõ ràng là bạn không thể đồng ý với đề xuất trong bất kỳ trường hợp nào. Trong bộ mã hóa này, các yêu cầu này xuất hiện liên tục, hết yêu cầu này đến yêu cầu khác và không dừng lại, buộc người dùng phải đồng ý và xóa các bản sao lưu. Đây là điểm khác biệt chính so với các sửa đổi trước đây của bộ mã hóa. Tôi chưa bao giờ gặp phải yêu cầu xóa bản sao bóng mà không dừng lại. Thông thường, sau 5-10 lời đề nghị họ dừng lại.

Tôi sẽ ngay lập tức đưa ra một khuyến nghị cho tương lai. Việc mọi người vô hiệu hóa cảnh báo Kiểm soát tài khoản người dùng là điều rất bình thường. Không cần phải làm điều này. Cơ chế này thực sự có thể giúp chống lại virus. Lời khuyên rõ ràng thứ hai là không nên liên tục làm việc với tài khoản quản trị viên máy tính trừ khi có nhu cầu khách quan. Trong trường hợp này, virus sẽ không có cơ hội gây hại nhiều. Bạn sẽ có cơ hội tốt hơn để chống lại anh ta.

Nhưng ngay cả khi bạn luôn phản hồi tiêu cực với các yêu cầu của ransomware thì tất cả dữ liệu của bạn đều đã được mã hóa. Sau khi quá trình mã hóa hoàn tất, bạn sẽ thấy một hình ảnh trên màn hình của mình.

Đồng thời, trên màn hình của bạn sẽ có nhiều file văn bản có nội dung giống nhau.

Các tập tin của bạn đã được mã hóa. Để giải mã ux, bạn cần gửi mã: 329D54752553ED978F94|0 tới địa chỉ email [email được bảo vệ]. Tiếp theo bạn sẽ nhận được tất cả các hướng dẫn cần thiết. Nỗ lực tự mình giải mã sẽ không dẫn đến điều gì khác ngoài một lượng thông tin không thể thu hồi được. Nếu bạn vẫn muốn thử, trước tiên hãy tạo bản sao lưu của các tệp, nếu không, trong trường hợp có thay đổi, việc giải mã sẽ trở nên không thể thực hiện được trong mọi trường hợp. Nếu bạn chưa nhận được thông báo tại địa chỉ trên trong vòng 48 giờ (chỉ trong trường hợp này!), hãy sử dụng biểu mẫu liên hệ. Việc này có thể được thực hiện theo hai cách: 1) Tải xuống và cài đặt Tor Browser bằng liên kết: https://www.torproject.org/download/download-easy.html.en Trong địa chỉ Tor Browser, nhập địa chỉ: http: //cryptsen7fo43rr6 .onion/ và nhấn Enter. Trang có biểu mẫu liên hệ sẽ được tải. 2) Trong bất kỳ trình duyệt nào, hãy truy cập một trong các địa chỉ: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Tất cả các tệp quan trọng trên máy tính của bạn đã được mã hóa. Để giải mã các tập tin, bạn nên gửi mã sau: 329D54752553ED978F94|0 tới địa chỉ e-mail [email được bảo vệ]. Sau đó bạn sẽ nhận được tất cả các hướng dẫn cần thiết. Tất cả các nỗ lực giải mã của chính bạn sẽ chỉ dẫn đến việc mất dữ liệu của bạn không thể thu hồi được. Nếu bạn vẫn muốn tự mình giải mã chúng, vui lòng tạo bản sao lưu trước vì việc giải mã sẽ không thể thực hiện được trong trường hợp có bất kỳ thay đổi nào bên trong tệp. Nếu bạn không nhận được câu trả lời từ email nêu trên trong hơn 48 giờ (và chỉ trong trường hợp này!), hãy sử dụng biểu mẫu phản hồi. Bạn có thể thực hiện bằng hai cách: 1) Tải xuống Tor Browser từ đây: https://www.torproject.org/download/download-easy.html.en Cài đặt nó và nhập địa chỉ sau vào thanh địa chỉ: http:/ /cryptsen7fo43rr6.onion/ Nhấn Enter và sau đó trang có biểu mẫu phản hồi sẽ được tải. 2) Truy cập một trong các địa chỉ sau trong bất kỳ trình duyệt nào: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Địa chỉ gửi thư có thể thay đổi. Tôi cũng đã tìm thấy các địa chỉ sau:

• [email được bảo vệ]
• [email được bảo vệ]

Địa chỉ được cập nhật liên tục, vì vậy chúng có thể hoàn toàn khác nhau.

Ngay khi bạn phát hiện ra các tập tin của mình đã bị mã hóa, hãy tắt máy tính ngay lập tức. Điều này phải được thực hiện để làm gián đoạn quá trình mã hóa cả trên máy tính cục bộ và trên ổ đĩa mạng. Virus mã hóa có thể mã hóa tất cả thông tin mà nó có thể tiếp cận, kể cả trên các ổ đĩa mạng. Nhưng nếu có một lượng lớn thông tin ở đó thì anh ta sẽ mất rất nhiều thời gian. Đôi khi, thậm chí trong vài giờ, ransomware không có thời gian để mã hóa mọi thứ trên ổ đĩa mạng có dung lượng khoảng 100 gigabyte.

Tiếp theo bạn cần suy nghĩ kỹ về cách hành động. Nếu bạn cần thông tin trên máy tính của mình bằng bất cứ giá nào và bạn không có bản sao lưu, thì tốt hơn hết là bạn nên liên hệ với các chuyên gia vào lúc này. Không nhất thiết phải vì tiền đối với một số công ty. Bạn chỉ cần một người thành thạo về hệ thống thông tin. Cần phải đánh giá quy mô của thảm họa, loại bỏ vi-rút và thu thập tất cả thông tin có sẵn về tình hình để hiểu cách tiến hành.

Các hành động không chính xác ở giai đoạn này có thể làm phức tạp đáng kể quá trình giải mã hoặc khôi phục tệp. Trong trường hợp xấu nhất, họ có thể biến điều đó thành không thể. Vì vậy, hãy dành thời gian, cẩn thận và nhất quán.

Virus ransomware CRYPTED000007 mã hóa tập tin như thế nào

Sau khi virus đã được khởi chạy và kết thúc hoạt động, tất cả các tập tin hữu ích sẽ được mã hóa, đổi tên từ tiện ích mở rộng.crypted000007. Hơn nữa, không chỉ phần mở rộng tệp mà cả tên tệp cũng sẽ bị thay thế, vì vậy bạn sẽ không biết chính xác mình có loại tệp nào nếu không nhớ. Nó sẽ trông giống như thế này.

Trong tình huống như vậy, sẽ rất khó để đánh giá quy mô của thảm kịch, vì bạn sẽ không thể nhớ đầy đủ những gì mình có trong các thư mục khác nhau. Điều này được thực hiện đặc biệt để gây nhầm lẫn cho mọi người và khuyến khích họ trả tiền để giải mã tệp.

Và nếu các thư mục mạng của bạn đã được mã hóa và không có bản sao lưu đầy đủ, thì điều này hoàn toàn có thể dừng công việc của toàn bộ tổ chức. Bạn sẽ mất một thời gian để tìm ra những gì cuối cùng đã bị mất để bắt đầu khôi phục.

Cách xử lý máy tính và loại bỏ ransomware CRYPTED000007

Virus CRYPTED000007 đã có trên máy tính của bạn. Câu hỏi đầu tiên và quan trọng nhất là làm thế nào để khử trùng máy tính và cách loại bỏ vi-rút khỏi máy tính để ngăn chặn việc mã hóa thêm nếu nó chưa được hoàn thành. Tôi muốn bạn ngay lập tức thu hút sự chú ý của bạn rằng sau khi chính bạn bắt đầu thực hiện một số hành động với máy tính của mình, cơ hội giải mã dữ liệu sẽ giảm đi. Nếu bạn cần khôi phục tập tin bằng bất cứ giá nào, đừng chạm vào máy tính của bạn mà hãy liên hệ ngay với các chuyên gia. Dưới đây tôi sẽ nói về chúng và cung cấp liên kết đến trang web cũng như mô tả cách chúng hoạt động.

Trong thời gian chờ đợi, chúng tôi sẽ tiếp tục xử lý máy tính và loại bỏ vi-rút một cách độc lập. Theo truyền thống, ransomware có thể dễ dàng bị loại bỏ khỏi máy tính vì vi-rút không có nhiệm vụ tồn tại trên máy tính bằng bất cứ giá nào. Sau khi mã hóa hoàn toàn các tập tin, việc anh ta xóa chính mình và biến mất càng có lợi hơn, do đó việc điều tra vụ việc và giải mã các tập tin càng khó khăn hơn.

Thật khó để mô tả cách loại bỏ vi-rút theo cách thủ công, mặc dù tôi đã thử làm điều này trước đây, nhưng tôi thấy rằng hầu hết nó đều vô nghĩa. Tên tệp và đường dẫn vị trí vi-rút liên tục thay đổi. Những gì tôi thấy không còn phù hợp trong một hoặc hai tuần nữa. Thông thường, vi-rút được gửi qua thư theo từng đợt và mỗi lần có một sửa đổi mới mà phần mềm chống vi-rút vẫn chưa phát hiện được. Các công cụ phổ biến giúp kiểm tra quá trình khởi động và phát hiện hoạt động đáng ngờ trong các thư mục hệ thống.

Để loại bỏ vi-rút CRYPTED000007, bạn có thể sử dụng các chương trình sau:

1. Công cụ diệt virus Kaspersky - một tiện ích của Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - một sản phẩm tương tự từ trang web khác http://free.drweb.ru/cureit.
3. Nếu hai tiện ích đầu tiên không giúp ích được gì, hãy thử MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Rất có thể, một trong những sản phẩm này sẽ xóa phần mềm ransomware CRYPTED000007 trên máy tính của bạn. Nếu đột nhiên chúng không giúp ích được gì, hãy thử loại bỏ vi-rút theo cách thủ công. Tôi đã đưa ra một ví dụ về phương pháp loại bỏ và bạn có thể thấy nó ở đó. Tóm lại, từng bước một, bạn cần hành động như sau:

1. Chúng tôi xem danh sách các quy trình sau khi thêm một số cột bổ sung vào trình quản lý tác vụ.
2. Chúng tôi tìm thấy quá trình vi-rút, mở thư mục chứa nó và xóa nó.
3. Chúng tôi xóa đề cập đến quy trình vi-rút theo tên tệp trong sổ đăng ký.
4. Chúng tôi khởi động lại và đảm bảo rằng vi-rút CRYPTED000007 không có trong danh sách các tiến trình đang chạy.

Tải xuống bộ giải mã CRYPTED000007 ở đâu

Câu hỏi về một bộ giải mã đơn giản và đáng tin cậy được đặt ra đầu tiên khi nói đến virus ransomware. Điều đầu tiên tôi khuyên bạn nên sử dụng dịch vụ https://www.nomoreransom.org. Điều gì sẽ xảy ra nếu bạn may mắn và họ có bộ giải mã cho phiên bản bộ mã hóa CRYPTED000007 của bạn. Tôi sẽ nói ngay rằng bạn không có nhiều cơ hội, nhưng cố gắng không phải là tra tấn. Trên trang chính bấm Có:

Sau đó tải xuống một vài tệp được mã hóa và nhấp vào Bắt đầu! Tìm ra:

Tại thời điểm viết bài, không có bộ giải mã trên trang web.

Có lẽ bạn sẽ gặp may mắn hơn. Bạn cũng có thể xem danh sách các bộ giải mã để tải xuống trên một trang riêng - https://www.nomoreransom.org/decryption-tools.html. Có lẽ có điều gì đó hữu ích ở đó. Khi virus hoàn toàn mới, rất ít khả năng điều này xảy ra, nhưng theo thời gian, điều gì đó có thể xuất hiện. Có những ví dụ khi bộ giải mã cho một số sửa đổi của bộ mã hóa xuất hiện trên mạng. Và những ví dụ này nằm trên trang được chỉ định.

Tôi không biết bạn có thể tìm bộ giải mã ở đâu khác. Khó có khả năng nó thực sự tồn tại, có tính đến đặc thù công việc của các bộ mã hóa hiện đại. Chỉ những tác giả của virus mới có thể có bộ giải mã chính thức.

Cách giải mã và khôi phục file sau virus CRYPTED000007

Phải làm gì khi virus CRYPTED000007 đã mã hóa file của bạn? Việc triển khai kỹ thuật mã hóa không cho phép giải mã các tập tin mà không có khóa hoặc bộ giải mã mà chỉ tác giả của bộ mã hóa mới có. Có thể có cách khác để lấy nó nhưng tôi không có thông tin đó. Chúng tôi chỉ có thể cố gắng khôi phục tệp bằng các phương pháp ngẫu hứng. Bao gồm các:

• Dụng cụ bản sao bóng tối các cửa sổ.
• Các chương trình khôi phục dữ liệu đã xóa

Trước tiên, hãy kiểm tra xem chúng tôi đã bật bản sao bóng chưa. Công cụ này hoạt động theo mặc định trong Windows 7 trở lên, trừ khi bạn tắt nó theo cách thủ công. Để kiểm tra, hãy mở thuộc tính máy tính và vào phần bảo vệ hệ thống.

Nếu trong quá trình lây nhiễm, bạn không xác nhận yêu cầu UAC xóa các tệp trong bản sao ẩn thì một số dữ liệu sẽ vẫn còn ở đó. Tôi đã nói chi tiết hơn về yêu cầu này ở đầu câu chuyện, khi tôi nói về hoạt động của virus.

Để dễ dàng khôi phục các tệp từ bản sao ẩn, tôi khuyên bạn nên sử dụng chương trình miễn phí cho việc này - ShadowExplorer. Tải xuống kho lưu trữ, giải nén chương trình và chạy nó.

Bản sao mới nhất của tệp và thư mục gốc của ổ C sẽ mở ra. Ở góc trên bên trái, bạn có thể chọn một bản sao lưu nếu bạn có một vài bản sao. Kiểm tra các bản sao khác nhau để tìm các tập tin cần thiết. So sánh theo ngày cho phiên bản mới nhất. Trong ví dụ bên dưới, tôi tìm thấy 2 tệp trên máy tính để bàn của mình từ ba tháng trước khi chúng được chỉnh sửa lần cuối.

Tôi đã có thể khôi phục các tập tin này. Để làm điều này, tôi đã chọn chúng, nhấp chuột phải, chọn Xuất và chỉ định thư mục nơi khôi phục chúng.

Bạn có thể khôi phục các thư mục ngay lập tức bằng cách sử dụng nguyên tắc tương tự. Nếu bạn có các bản sao ẩn đang hoạt động và không xóa chúng, bạn có cơ hội tốt để khôi phục tất cả hoặc gần như tất cả các tệp bị vi-rút mã hóa. Có lẽ một số trong số chúng sẽ là phiên bản cũ hơn chúng ta mong muốn, nhưng tuy nhiên, có còn hơn không.

Nếu vì lý do nào đó mà bạn không có bản sao ẩn của các tệp của mình, cơ hội duy nhất để bạn lấy được ít nhất thứ gì đó từ các tệp được mã hóa là khôi phục chúng bằng các công cụ khôi phục tệp đã xóa. Để làm điều này, tôi khuyên bạn nên sử dụng chương trình Photorec miễn phí.

Khởi chạy chương trình và chọn đĩa mà bạn sẽ khôi phục các tập tin. Khởi chạy phiên bản đồ họa của chương trình sẽ thực thi tệp qphotorec_win.exe. Bạn phải chọn một thư mục nơi các tập tin tìm thấy sẽ được đặt. Sẽ tốt hơn nếu thư mục này không nằm trên cùng ổ đĩa mà chúng ta đang tìm kiếm. Kết nối ổ đĩa flash hoặc ổ cứng ngoài để thực hiện việc này.

Quá trình tìm kiếm sẽ mất nhiều thời gian. Cuối cùng bạn sẽ thấy số liệu thống kê. Bây giờ bạn có thể vào thư mục đã chỉ định trước đó và xem những gì được tìm thấy ở đó. Rất có thể sẽ có rất nhiều tệp và hầu hết chúng sẽ bị hỏng hoặc chúng sẽ là một loại tệp hệ thống và vô dụng nào đó. Tuy nhiên, bạn có thể tìm thấy một số tệp hữu ích trong danh sách này. Không có gì đảm bảo ở đây; những gì bạn tìm thấy là những gì bạn sẽ tìm thấy. Hình ảnh thường được khôi phục tốt nhất.

Nếu kết quả không làm bạn hài lòng thì cũng có các chương trình khôi phục các tập tin đã xóa. Dưới đây là danh sách các chương trình tôi thường sử dụng khi cần khôi phục số lượng tệp tối đa:

• R.saver
• Phục hồi tập tin Starus
• Phục hồi JPEG chuyên nghiệp
• Phục hồi tập tin hoạt động chuyên nghiệp

Những chương trình này không miễn phí nên tôi sẽ không cung cấp liên kết. Nếu bạn thực sự muốn, bạn có thể tự tìm thấy chúng trên Internet.

Toàn bộ quá trình khôi phục file được hiển thị chi tiết trong video ở cuối bài viết.

Kaspersky, eset gật32 và những người khác trong cuộc chiến chống lại bộ mã hóa Filecoding.ED

Các phần mềm chống vi-rút phổ biến phát hiện phần mềm ransomware CRYPTED000007 dưới dạng Bộ mã hóa tập tin.ED và sau đó có thể có một số chỉ định khác. Tôi đã xem qua các diễn đàn chống vi-rút lớn và không thấy điều gì hữu ích ở đó. Thật không may, như thường lệ, phần mềm chống vi-rút hóa ra không được chuẩn bị cho sự xâm nhập của một làn sóng ransomware mới. Đây là một bài viết từ diễn đàn Kaspersky.

Theo truyền thống, các phần mềm chống vi-rút bỏ lỡ các sửa đổi mới của Trojan ransomware. Tuy nhiên, tôi khuyên bạn nên sử dụng chúng. Nếu bạn may mắn và nhận được email ransomware không phải trong đợt lây nhiễm đầu tiên mà muộn hơn một chút, rất có thể phần mềm chống vi-rút sẽ giúp bạn. Tất cả đều hoạt động chậm một bước so với những kẻ tấn công. Một phiên bản mới của ransomware được phát hành nhưng phần mềm chống vi-rút không phản hồi. Ngay khi tích lũy được một lượng tài liệu nhất định để nghiên cứu về một loại vi-rút mới, phần mềm chống vi-rút sẽ phát hành bản cập nhật và bắt đầu phản hồi với nó.

Tôi không hiểu điều gì ngăn cản phần mềm chống vi-rút phản hồi ngay lập tức với bất kỳ quy trình mã hóa nào trong hệ thống. Có lẽ có một số sắc thái kỹ thuật về chủ đề này không cho phép chúng tôi phản hồi đầy đủ và ngăn chặn việc mã hóa tệp người dùng. Đối với tôi, có vẻ như ít nhất có thể hiển thị cảnh báo về thực tế là ai đó đang mã hóa các tệp của bạn và đề nghị dừng quá trình này.

Đi đâu để giải mã được đảm bảo

Tôi tình cờ gặp một công ty thực sự giải mã dữ liệu sau hoạt động của nhiều loại virus mã hóa khác nhau, bao gồm cả CRYPTED000007. Địa chỉ của họ là http://www.dr-shifro.ru. Chỉ thanh toán sau khi giải mã đầy đủ và xác minh của bạn. Đây là một sơ đồ công việc gần đúng:

1. Một chuyên gia của công ty đến văn phòng hoặc nhà của bạn và ký một thỏa thuận với bạn, trong đó đưa ra chi phí cho công việc.
2. Khởi chạy bộ giải mã và giải mã tất cả các tập tin.
3. Bạn đảm bảo rằng tất cả các tập tin đã được mở và ký vào giấy chứng nhận bàn giao/ nghiệm thu công việc đã hoàn thành.
4. Thanh toán chỉ được thực hiện khi có kết quả giải mã thành công.

Thành thật mà nói, tôi không biết họ làm điều đó như thế nào, nhưng bạn không gặp rủi ro gì cả. Chỉ thanh toán sau khi trình diễn hoạt động của bộ giải mã. Hãy viết bình luận về trải nghiệm của bạn với công ty này.

Các phương pháp bảo vệ chống lại virus CRYPTED000007

Làm thế nào để bảo vệ bản thân khỏi ransomware và tránh thiệt hại về vật chất và tinh thần? Có một số mẹo đơn giản và hiệu quả:

1. Hỗ trợ! Sao lưu tất cả dữ liệu quan trọng. Và không chỉ là một bản sao lưu mà còn là một bản sao lưu không có quyền truy cập liên tục. Nếu không, vi-rút có thể lây nhiễm vào cả tài liệu và bản sao lưu của bạn.
2. Phần mềm chống virus được cấp phép. Mặc dù chúng không đảm bảo 100% nhưng chúng làm tăng cơ hội tránh được mã hóa. Chúng thường chưa sẵn sàng cho các phiên bản mới của bộ mã hóa, nhưng sau 3-4 ngày chúng bắt đầu phản hồi. Điều này làm tăng cơ hội tránh bị lây nhiễm nếu bạn không được đưa vào làn sóng phân phối đầu tiên của bản sửa đổi mới của ransomware.
3. Không mở các tệp đính kèm đáng ngờ trong thư. Không có gì để bình luận ở đây. Tất cả các ransomware mà tôi biết đều đến tay người dùng qua email. Hơn nữa, mỗi lần thủ đoạn mới được phát minh ra để đánh lừa nạn nhân.
4. Đừng vô tư mở các liên kết được gửi cho bạn từ bạn bè qua mạng xã hội hoặc tin nhắn tức thời. Đây cũng là cách virus đôi khi lây lan.
5. Kích hoạt cửa sổ để hiển thị phần mở rộng tập tin. Cách thực hiện việc này rất dễ tìm thấy trên Internet. Điều này sẽ cho phép bạn nhận thấy phần mở rộng tập tin của virus. Thông thường nó sẽ là .exe, .vbs, .src. Trong công việc hàng ngày với các tài liệu, bạn khó có thể gặp những phần mở rộng tệp như vậy.

Tôi đã cố gắng bổ sung những gì tôi đã viết trước đây trong mỗi bài viết về virus ransomware. Trong lúc chờ đợi, tôi nói lời tạm biệt. Tôi rất vui khi nhận được những bình luận hữu ích về bài viết và virus ransomware CRYPTED000007 nói chung.

Video về giải mã và phục hồi tập tin

Đây là một ví dụ về một sửa đổi trước đó của virus, nhưng video này hoàn toàn có liên quan đến CRYPTED000007.